김상태 가비아 CISO(정보보호최고책임자). /사진=가비아


기업 경영에서 '이익 창출'과 '리스크 관리'는 수레의 두 바퀴와 같다. 시장이 활기를 띠는 2026년 현재 노련한 경영자들은 재무제표 너머에 존재하는 가장 큰 변수로 주저 없이 '보안'을 꼽는다. 보안은 이제 기업의 존폐를 가르는 핵심 경영 지표이자 타협할 수 없는 생존의 상수가 되었다.


지난해 산업계를 강타한 일련의 사고들은 우리에게 묵직한 과제를 던졌다. 전 산업군의 디지털 전환이 완료된 지금, 보안 사고는 단순한 전산 장애 수준에 머무르지 않는다. 주가 폭락, 브랜드 가치 훼손, 경영진의 법적 책임으로 직결되는 치명적인 '경영 리스크' 그 자체다.

과거 보안을 IT 부서 실무나 컴플라이언스 준수를 위한 매몰 비용으로 치부하던 시대는 끝났다. 일정 규모 이상 기업에 CISO(정보보호최고책임자) 권한이 법적으로 강화되고 이사회 내 보안위원회가 표준으로 자리 잡은 것은 보안을 기술이 아닌 '경영의 언어'로 다루라는 시장의 강력한 요구다.


미국 국립표준기술연구소(NIST)가 사이버보안 프레임워크 2.0(CSF 2.0)을 통해 '거버넌스(Governance)'를 최우선 항목으로 격상시킨 것 또한 같은 맥락이다. 보안은 방화벽 뒤의 기술적 방어를 넘어 조직 전체가 관여해야 할 전사적 위험 관리(ERM)의 영역으로 진입했다.

올해 보안 거버넌스 핵심은 '방어'를 넘어 '회복탄력성'으로 귀결된다. AI로 고도화된 공격 기법 앞에서 '침해 제로'를 장담하는 것은 허상에 가깝다. 사고 발생 시 비즈니스를 얼마나 신속하게 정상화하느냐가 기업의 역량을 증명하는 척도다.


2024년 전 세계를 마비시킨 미국의 사이버 보안회사인 C사 사태는 소프트웨어 배포 전 검증이라는 '절차적 거버넌스' 부재가 낳은 참사였다. 반면 동시기 역대 최대 규모의 디도스 공격을 받은 G사는 사전에 구축된 인프라와 매뉴얼화된 대응 체계로 서비스 중단 없는 방어를 해냈다. 위기 상황에서 기업을 구하는 것은 요행이 아닌 철저히 준비된 시스템과 절차임이 증명된 것이다.

경영진은 이러한 보안 거버넌스를 선언적 구호가 아닌 현장의 시스템으로 안착시켜야 한다. 이를 위해 다음 세 가지 실행 방안을 제언한다.


첫째 보안 리스크의 '정량화'다. 보안 위협을 모호한 기술 용어가 아닌 '연간 예상 손실액(ALE)'이나 '복구 목표 시간(RTO)' 등 재무적 수치로 환산해 관리해야 한다. 이는 이사회가 보안 투자의 적정성을 판단하고 합리적인 의사결정을 내리는 명확한 근거가 된다.

둘째 '비즈니스 연속성 계획(BCP)'의 현실화다. 보안 조직의 목표를 단순 방어에서 '가용성 확보'로 전환해야 한다. 시스템 마비 시 핵심 비즈니스를 지속할 대체 프로세스가 즉각 가동되는지, 백업 데이터의 정합성은 검증되었는지 확인하는 것이야말로 경영진이 수행해야 할 핵심 역할이다.

셋째 경영진이 주관하는 '위기 대응 모의훈련'의 정례화다. 실무진 차원의 훈련만으로는 한계가 명확하다. 랜섬웨어 감염이나 대규모 정보 유출 등 최악의 시나리오를 가정해 CEO와 임원진이 직접 의사결정을 내리고 판단 과정의 병목 현상을 점검하는 훈련이 필수적이다.

거친 파도 속에서 선박의 중심을 잡아주는 평형수는 겉으로 드러나지 않지만 배의 복원력을 결정짓는 핵심 요소다. 데이터 시대를 항해하는 기업에게 보안 거버넌스는 생존을 지탱하는 평형수와 같다. 보안을 기업 경영의 최우선 순위로 설정하고 어떤 위기에서도 다시 일어설 수 있는 회복탄력성을 점검하는 것. 그것이 기업의 지속 가능성을 담보하는 가장 확실한 투자다.